Skip to end of metadata
Go to start of metadata


Hilfreiche Tipps für den sicheren Hotspot-Betrieb

Ob im Café, Restaurant oder im Hotel, ein sicherer Hotspot bietet Ihren Kunden oder Gästen zusätzlichen Service. Doch auch hier muss man als Hotspot-Betreiber einige Punkte beachten, um seinen Gästen einen sicheren Zugang zum Internet zu gewähren. Die folgenden Schritte geben Ihnen als Hotspot-Betreiber hilfreiche Tipps vom Profi, wie Sie einen sicheren und
zuverlässigen Hotspot aufsetzen und Ihren Benutzern gleichzeitig maximalen Komfort bieten.


1. Technische Tipps:

Kein offenes WLAN verwenden:

Schützen Sie Ihr Netzwerk immer mit einer Zugangskontrolle, z.B. mit einer professionellen Hotspot Lösung. Verzichten Sie darauf, riskieren Sie nicht-autorisierte Netzzugriffe und verlieren dadurch die Kontrolle über Ihr Netzwerk.


Professionelle Hotspot-Lösung:

Setzen Sie eine professionelle Hotspot-Lösung ein, die verschiedene Möglichkeiten bietet, sich mit entsprechenden Zugangsdaten anzumelden. Die LANCOM Public Spot Option ermöglicht beispielsweise eine webbasierte Benutzer-Authentifizierung, bei der Sie sicher sein können, dass sich nur Ihre Gäste mit den von Ihnen ausgegebenen
Zugangsdaten in das WLAN einloggen können.


Zuverlässiges Equipment einsetzen:

Wird ein Hotspot zur Verfügung gestellt, muss vor Allem zu Stoßzeiten damit gerechnet werden, dass das Funkfeld stark ausgelastet ist. Die von Ihnen eingesetzte Hardware sollte dieser Belastung standhalten.

Verzichten Sie deshalb auf die Anschaffung von kostengünstigem Equipment sondern setzen Sie lieber auf Qualitätsprodukte, die sowohl große Bandbreiten bereitstellen können, eine hohe Client-Dichte bedienen und durch ein WLAN-Optimierungskonzept für ein tolles Nutzererlebnis sorgen.


Vergabe von Zugangsdaten:

Beachten Sie, dass die Vergabe von Zugangsdaten für Sie und Ihre Mitarbeiter möglichst einfach und flexibel gestaltet ist. Zum Beispiel über einen einfachen Voucherdruck, das Akzeptieren der AGB oder die Selbstanmeldung über E-Mail und SMS durch Ihre Gäste.


Trennung der Teilnetze (Gäste, Verwaltung und Service):

Weisen Sie jedem Teilnetz für Verwaltung, Gäste und Service eine eigene SSID zu (z. B. dem Gastnetz, dem Verwaltungsnetz, dem Restaurantnetz usw.).

Nach heutigem Standard sollten Sie alle SSIDs mit WPA2 verschlüsseln, bis auf das Gastnetz. Dieses wird in der Praxis nicht verschlüsselt, da die Authentifizierung des Gastes über eine webbasierte Schnittstelle erfolgt. So können sich nur Gäste im Besitz der Anmeldedaten einwählen. Um die maximale Sicherheit zu gewährleisten, kann die SSID des Gastnetzes zusätzlich mit WPA2 verschlüsselt werden.

Wichtig ist, dass Sie die Teilnetze auch auf Netzwerkebene trennen. Hierzu gibt es mehrere Möglichkeiten. Ihr zuständiges IT-Systemhaus kann Sie dazu beraten und eine solche Netztrennung für Sie realisieren.

Informationen zur Konfiguration von getrennten Teilnetzen erhalten Sie in folgendem Knowledgebase-Dokument Dokumentlinksymbol.


Konfigurations-Zugriff im Public Spot unterbinden:

Stellen Sie sicher, dass aus dem Public Spot-Netzwerk kein Zugriff auf die Konfiguration des LANCOM Routers oder Access Points möglich ist.

Informationen zur Unterbindung des Konfigurationszugriffs im Public Spot erhalten Sie in folgendem Knowledgebase-Dokument .

Wie Sie den Konfigurationszugriff bei Access Points unterbinden, welche von einem LANCOM WLC verwaltet werden, ist in folgendem KnowledgeBase-Artikel beschrieben .


Keine Kommunikation der Endgeräte untereinander auf der Gast-SSID:

Verbieten Sie auf der Gast-SSID, dass die Endgeräte (Tablets, Smartphones, Laptops) miteinander kommunizieren. In einem Gastnetz, welches lediglich einen Internet-Zugang zur Verfügung stellt, besteht kein Bedarf für eine Kommunikation der Endgeräte untereinander. Im Gegenteil birgt dies ein hohes Sicherheitsrisiko, falls Gäste versehentlich offene Freigaben auf ihren Endgeräten haben. LANCOM Access Points ermöglichen diese Funktion.


Eigene Internetverbindung für den WLAN-Gastzugang verwenden:

Konfigurieren Sie für den WLAN-Gastzugang eine eigene Internetverbindung, oder weisen Sie dem WLAN-Gastzugang eine eigene öffentliche IP-Adresse zu.


Sicherheit vor direktem Anschluss eines Clients an die Ethernet-Anschlussdose des Access Points:

Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann, ist es empfehlenswert durch eine RADIUS-Authentifizierung des Access Points zu gewährleisten, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf ein Firmennetzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Points angeschlossen wird.

Informationen zur Konfiguration erhalten Sie in folgendem Knowledgebase-Dokument .


Einschränkung der Web-Zugriffe:
  • Portsperren über Firewall-Regeln:

    Es ist ratsam, Ports z. B. für Peer-to-Peer-Verbindungen zu sperren, über die viele illegale Tauschbörsen im Netz funktionieren. Am Besten sperren Sie die Ports über die in der zentralen Netzwerkkomponente (z.B. im Router) integrierte Firewall.

    Hierbei empfiehlt es sich in der Praxis eine „Deny All“-Strategie zu verfolgen: Sperren Sie alle Ports und öffnen Sie nur genau die Dienste, die Sie erlauben wollen, z. B. Port 80 für das einfache Surfen, Port 53 für DNS, Port 443 für HTTPS (sichere Internetseiten) sowie Port 500 und 4500 für VPN-Anwendungen.

    Informationen zur Konfiguration der Firewall-Regeln erhalten Sie in folgendem Knowledgebase-Dokument Dokumentlinksymbol.
  • Content Filter:

    Zusätzlich empfiehlt es sich, einen Web Content Filter einzusetzen, mit dem Sie unangemessene Internetinhalte
    sperren können. Nach Belieben lassen sich mit dieser Software gezielte Webseiten-Kategorien, wie z. B. „Gewalt“
    und „Pornografie“ sperren.

    Informationen zur Konfiguration des Content Filters erhalten Sie in folgendem Knowledgebase-Dokument Dokumentlinksymbol.

Bitte beachten Sie, dass Sie den Gast bei jeglicher Beschränkung des Internets in den AGB darauf hinweisen sollten.
(Siehe 2.f)


Eigenes HTTPS-Zertifikat verwenden:

Da LANCOM Systems keine bekannte Zertifizierungsstelle ist, kommt es bei Verwendung von HTTPS im Public Spot zu einer Fehlermeldung bezüglich eines unsicheren Zertifikates. Um dies zu beheben, muss die Anmeldung entweder auf HTTP umgestellt oder ein SSL-Zertifikat einer bekannten Zertifizierungsstelle (z.B. VeriSign) erworben und in das Gerät hochgeladen werden (siehe auch ). Ein entsprechendes Stamm-Zertifikat ist in den meisten Browsern bereits enthalten.

LANCOM Systems empfiehlt, ein SSL-Zertifikat einer bekannten Zertifizierungsstelle zu erwerben, damit HTTPS zur Einwahl am Public Spot verwendet werden kann.